Das Wichtigste in Kürze:

  • Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden die klassischen Informationen der Teilnehmer erfasst.
  • Die personenbezogenen Daten wurden später für Werbezwecke verwendet.
  • Die Krankenkasse nutzte dabei auch personenbezogene Daten von Personen, von denen keine Einwilligung vorlag.
  • Der Landesdatenschutzbeauftragte verhängte ein Bußgeld von 1,2 Millionen Euro. Ziel der Aufsichtsbehörde sei es nach Herrn Brink aber nicht, besonders hohe Bußgelder zu verhängen, sondern ein besonders gutes und angemessenes Datenschutzniveau zu gewährleisten.
  • Die Aufsichtsbehörde betonte, dass der Datenschutz eine Daueraufgabe sei. Wirksamer Datenschutz erfordere daher regelmäßige Kontrollen und Anpassungen.

Der Fall im Detail

Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen, um damit fleißig persönliche Informationen der Teilnehmer – wie bspw. Kontaktdaten oder Krankenkassenzugehörigkeit – für spätere Werbemaßnahmen zu sammeln. Eine grundsätzlich vollkommen legitime Idee. Bei der Verwendung personenbezogener Daten für Werbeaktionen sollten aber immer die Alarmglocken läuten, denn es gibt aus dem Wettbewerbsrecht und dem Datenschutzrecht ausgesprochen strikte Spielregeln dafür. Um personenbezogene Daten verarbeiten zu dürfen, benötigen Unternehmen nach Art. 6 DS-GVO immer einen Rechtfertigungsgrund. Ein solcher Rechtfertigungsgrund kann ein Vertrag, die Anbahnung eines Vertrags, das überwiegende berechtigte Interesse oder die allseits bekannte Einwilligung sein.

In Deutschland gilt neben der DS-GVO auch das Gesetz gegen unlauteren Wettbewerb (UWG). Dieses verbietet in § 7 nahezu jede Werbemaßnahme, die nicht per Brief erfolgt, solange nicht die explizite Einwilligung des Adressaten vorliegt. Deshalb wird die Verarbeitung personenbezogener Daten für den Versand von Werbung datenschutzrechtlich regelmäßig auf die Einwilligung gestützt. Diese Vorgehensweise hat auch die Krankenkasse bei ihren Gewinnspielen gewählt. Jedoch sorgten mangelhafte technische und organisatorische Maßnahmen bei der Krankenkasse dafür, dass rund 500 Gewinnspielteilnehmer Werbung erhielten, die ihre Zustimmung nicht erteilt hatten. Einwilligung bedeutet, dass der Adressat entscheidet, ob er Werbung erhalten möchte oder nicht, und der Werbeversender (hier also die Krankenkasse) diese Wahl respektieren muss.

Werden Verarbeitungsprozesse von personenbezogenen Daten auf die Einwilligung gestützt, müssen Unternehmen entsprechend alternative Prozesse für diejenigen etablieren, die ihre Einwilligung nicht erteilen. Diese datenschutzrechtlichen Pflichten hat die Krankenkasse nicht beachtet. Die hierfür etablierten internen Prozesse und Schulungen der Mitarbeiter waren unzureichend mit dem Ergebnis, dass 500 Datensätze ohne die erforderliche Rechtsgrundlage für Werbemaßnahmen genutzt wurden. Aufgefallen war das Ganze übrigens durch Hinweise von Gewinnspielteilnehmern.

Achtung - wichtig zu wissen!

Jede Privatperson kann Datenschutzverstöße bei der Aufsichtsbehörde melden, egal ob ein Bezug zum Unternehmen besteht oder nicht. Fehlerhafte Cookie-Banner, unzureichende Datenschutzerklärungen oder Verstöße gegen die datenschutzkonforme Verarbeitung von personenbezogenen Daten können Unternehmen so schneller zum Verhängnis werden, als oft vermutet.

Maßnahmen zur Schadensbegrenzung

Nach Bekanntwerden des Vorfalls bemühte sich die Krankenkasse sehr um Schadensbegrenzung und stellte sofort alle vertrieblichen Maßnahmen ein. Weiterhin wurden sämtliche Abläufe auf den Prüfstand gestellt und eine Taskforce für Datenschutz im Vertrieb gegründet. Auch wurde der Landesdatenschutzbeauftragte mit ins Boot geholt, um Konzepte für eine Verbesserung der technischen und organisatorischen Maßnahmen zu entwickeln. In diesem Zusammenhang aktualisierte die Krankenkasse auch die Einwilligungserklärungen und passte die internen Datenschutzprozesse und Kontrollstrukturen an.
Die Bemühungen der Krankenkasse, in Zukunft für ein besseres Datenschutzkonzept zu sorgen, sowie die konstruktive Kooperation mit der Aufsichtsbehörde wurden zwar bei der Bemessung der Geldbuße positiv gewertet, die Höhe des Bußgelds beläuft sich trotzdem auf 1.240.000 Euro. Weitere Faktoren für die Bemessung des Bußgeldes waren die Größe und auch die Bedeutung der Krankenkasse als wichtiger Bestandteil des Gesundheitssystems. Da Bußgelder nach dem klaren Wortlaut der DS-GVO nicht nur wirksam und abschreckend, sondern eben auch verhältnismäßig sein sollen, war bei der Bußgeldhöhe insbesondere zu beachten, dass die Krankenkasse weiterhin der gesetzlichen Aufgabe der Erhaltung, Verbesserung und Wiederherstellung der Gesundheit der Versicherten nachkommen kann.

Technische und organisatorische Maßnahmen

Wie der vorliegende Fall zeigt, sind die technischen und organisatorischen Maßnahmen ein überaus wichtiger Bestandteil zur Umsetzung der DS-GVO und nach dieser auch gesetzlich verpflichtend. Sowohl in § 9 Bundesdatenschutzgesetz als auch in Art. 32 DS-GVO ist ein professionelles Datenmanagement durch technische und organisatorische Maßnahmen gefordert. Die technischen und organisatorischen Maßnahmen (TOMs) dienen Unternehmen hauptsächlich dazu, nachweisen zu können, welche Vorkehrungen für die Datensicherheit getroffen wurden. Sie sind einerseits notwendig, weil die DS-GVO vorschreibt, dass die Integrität, Vertraulichkeit und Verfügbarkeit von personenbezogenen Daten mit geeigneten Maßnahmen angemessen geschützt werden müssen. Andererseits lassen sich weitere umfangreiche Pflichten und Aspekte ohne entsprechende Maßnahmen nicht gewährleisten, wie die hier problematische rechtswidrige Verwendung von Teilnehmerdaten für Werbemaßnahmen zeigt.

Kommt es zu einer Datenpanne, entscheiden die durchgeführten Sicherheitsmaßnahmen mit darüber, ob, und wenn ja, in welcher Höhe ein Bußgeld verhängt wird (Art. 83 Abs. 2 lit. d) DS-GVO). Unternehmen, die professionelle und gut dokumentierte TOMs nachweisen können, sind meist auf der sicheren Seite. Um die unrechtmäßige Verarbeitung von personenbezogenen Daten, wie im vorliegenden Fall, zu verhindern, sind die TOMs unabdinglich. Durch diese wird nämlich unter anderem sichergestellt, welcher Anwenderkreis Zugriff auf welche Daten besitzt. Außerdem wir die Eingabe und die Weiterverarbeitung der personenbezogenen Daten dadurch genau kontrolliert, wodurch auch eine zweckmäßige Datenverarbeitung sichergestellt werden kann. So können personenbezogene Daten nicht einfach für Werbemaßnahmen zweckentfremdet werden.

Lassen Sie sich bei der Erstellung Ihrer TOMs professionell unterstützen!

Gerne helfen wir Ihnen als externer Datenschutzbeauftragter dabei, die technischen und organisatorischen Maßnahmen datenschutzkonform umzusetzen. Guter Datenschutz im Vorfeld kann einem so einiges an Ärger, Zeit und insbesondere Geld sparen.

Kontakt aufnehmen

Werbung datenschutzkonform gestalten

Egal ob bei Werbung per E-Mail oder per Post – um sich bei Werbeaktionen datenschutztechnisch auf der sicheren Seite wähnen zu können, ist die Einwilligung der Betroffenen kaum zu umgehen. Des Weiteren gibt es beim Einholen von Einwilligungen das ein oder andere zu beachten – denn eine pauschale Einwilligung „in Werbemaßnahmen“ oder „für Marketingzwecke“ reicht definitiv nicht mehr aus. Vielmehr ist eine Einwilligung nur wirksam, wenn

  • diese freiwillig abgegeben wurde.
  • der Betroffene über den Sinn und Zweck der Datenverarbeitung informiert wurde.
  • sie von dem Betroffenen in einer unmissverständlichen Willensbekundung in Form einer Erklärung in einer klaren und einfachen Sprache abgegeben wurde.

Daraus muss hervorgehen, dass die betroffene Person mit der Verarbeitung der sie betreffenden Daten einverstanden ist.
Zwar ist eine Schriftform nicht erforderlich, jedoch müssen Verantwortliche die Einwilligungen der Betroffenen nachweisen können. Daher ist es ratsam, Einwilligungen immer schriftlich einzuholen. Wird die Einwilligung schriftlich eingeholt, ist darauf zu achten, dass diese klar von anderen Sachverhalten (z. B. anderen Erklärungen oder vertraglichen Inhalten) zu unterscheiden ist. Auch das elektronische Double-Opt-in-Verfahren kann zur Einholung einer Einwilligung genutzt werden. Wobei beim Double-Opt-in-Verfahren zu beachten ist, dass eine Protokollierung der IP-Adresse nicht als Nachweis zur Einwilligung dient. Hierbei muss ggf. das gesamte Opt-in-Verfahren und der Inhalt der Einwilligung dokumentiert werden.

In wenigen Ausnahmefällen sind Werbemaßnahmen auf Grundlage des überwiegenden berechtigten Interesses zulässig. In diesem Fall muss aber eine ausführliche Interessenabwägung durchgeführt und der Adressat vorher vollumfänglich informiert werden. Dabei ist er auch ausdrücklich über sein Widerspruchsrecht zu informieren (Art. 21 Abs. 4 DS-GVO). Aus Gründen der Nachweisbarkeit empfiehlt es sich bei den Werbeaktionen an sich, die betroffene Person weiterhin auf ihr Widerspruchsrecht gegen die werbliche Verwendung der Daten hinzuweisen.

Achtung - wichtig zu wissen!

Es ist nur dann von einer wirksamen Information über das Widerspruchsrecht auszugehen, wenn der Betroffene beim üblichen Umgang mit der Werbung oder mit Vertragsinformationen hierüber Kenntnis erlangt. Ein „Verstecken“ der Information, z. B. in AGB, stellt keinen Hinweis im Sinne von Art. 21 Abs. 4 DSGVO dar.

Kennen Sie die wichtigsten Spielregeln?

Datenschutzkonforme Homepage-Gestaltung und rechtssichere Werbung sind mit der DS-GVO für viele Unternehmen zu einem wahren Minenfeld geworden. Unser Tagesseminar „Datenschutzkonforme Internetpräsenz und Werbeaktionen“ vermittelt Ihnen die datenschutzrechtlichen Basics und zeigt Ihnen anhand vieler praktischer Beispiele, was Sie in puncto Datenschutzerklärung, Cookies und Kontaktformularen beachten müssen. Das Seminar gibt Ihnen wichtige Leitlinien an die Hand, um die Anforderungen des Datenschutzes mit praktikablen Mitteln beachten zu können.

Datenschutz-Seminare, Nürnberg
Seminarübersicht
Seminarbeschreibung
Seminar buchen